sqlmap.org) Host: www.sqli.com Accept: */* Accept-Encoding: gzip, deflate Connection: close
0x03 流量特征分析...一、静态分析
首先最最最特征的肯定就是User-Agent了, 这里如果没有做伪装, 基本上就是sqlmap的流量, 直接拦截掉就好了
接着就是代码的静态特征, sqlmap首先上传的上传马,...sqlmap.org) Host: www.sqli.com Accept: */* Accept-Encoding: gzip, deflate Connection: close
如果攻击者没有进行过流量分析...execution test时, 就可以认定这是sqlmap的命令马, 杀之即可
再就是sqlmap会判断当前的操作系统, 而判断操作系统就会使用 @@version_compile_os
这个函数, 所以当流量中包含这个函数的请求